Oltre la VPN: con SASE e Zero Trust la rete diventa il perimetro di sicurezza

Per vent’anni la sicurezza di rete ha funzionato come un castello: un perimetro robusto — il firewall in sede — e, per chi stava fuori, un ponte levatoio, la VPN. Dentro le mura ci si fidava, fuori no. Lo schema ha retto finché il lavoro stava davvero dentro le mura: utenti in ufficio, applicazioni nel data center aziendale, un confine netto tra “interno” ed “esterno”.

Quel confine, oggi, non esiste più. Le persone lavorano da casa e dalle filiali, le applicazioni stanno in cloud e in SaaS, i dati escono dalla sede prima ancora di passare dal firewall. Il castello ha ancora le mura, ma metà dell’azienda vive fuori dal fossato. E ogni utente collegato in VPN, una volta entrato, si muove come se fosse seduto in sede — con un livello di fiducia che il perimetro non è più in grado di controllare.

Il limite della VPN: dentro o fuori, troppo grezzo

La VPN ragiona in modo binario: o sei dentro, o sei fuori. Una volta autenticato, l’utente ottiene accesso alla rete, non a una singola applicazione. È il modello che ha permesso a tanti attacchi recenti di propagarsi: basta una credenziale rubata o un portatile compromesso, e da quel punto di ingresso ci si muove lateralmente verso server, condivisioni e gestionali che non c’era alcun motivo di rendere raggiungibili.

A questo si aggiunge un problema pratico di prestazioni. Far transitare tutto il traffico di una filiale o di un utente remoto dentro la sede centrale, per poi rimandarlo verso il cloud, allunga i percorsi e congestiona le linee: l’applicazione SaaS è a un passo, ma il traffico fa il giro lungo. Strumenti progettati per i data center e i perimetri fissi, semplicemente, non reggono più il passo di un’azienda distribuita.

SASE: rete e sicurezza nello stesso strato

Da qui nasce il SASE — Secure Access Service Edge. L’idea è far convergere in un’unica piattaforma, erogata dal cloud, due mondi che fino a ieri vivevano separati: la rete (la SD-WAN che instrada il traffico tra sedi, utenti e cloud) e la sicurezza (filtro web, controllo delle applicazioni cloud, firewall e accesso applicativo). Invece di concentrare i controlli in un punto fisico — la sede — si distribuiscono ai margini della rete, vicino a dove l’utente e il dato si trovano davvero.

Il vantaggio non è solo architetturale. Significa una sola console per governare connettività e sicurezza di tutte le sedi e di tutti gli utenti, invece di una pila di apparati scollegati che divergono nel tempo. È il passo successivo rispetto alla SD-WAN: la rete software-defined porta la continuità, il SASE le aggiunge sopra lo strato di sicurezza che prima viaggiava su scatole separate.

Zero Trust: “mai fidarsi, sempre verificare”

Il motore di tutto questo è il principio Zero Trust: nessun utente e nessun dispositivo è considerato affidabile per impostazione predefinita, neanche se è già “dentro” la rete. Ogni accesso viene verificato sulla base dell’identità e del contesto — chi sei, da quale dispositivo, in che stato di sicurezza, verso quale risorsa — e concede solo il minimo necessario.

In pratica si passa dall’accesso alla rete all’accesso alla singola applicazione. L’utente del reparto contabilità raggiunge il gestionale, e nient’altro; il fornitore esterno vede l’unico sistema su cui deve lavorare, e resta invisibile al resto. Una credenziale compromessa non apre più l’intero castello: apre, al massimo, una stanza.

Il perimetro non è più un luogo: è l’identità. La domanda non è “sei dentro la rete?”, ma “sei tu, da un dispositivo sano, e per fare esattamente cosa?”.

In Italia non è solo una tendenza: lo chiede anche la NIS2

Per molte imprese italiane questo smette di essere una scelta di architettura e diventa un adempimento. La NIS2, recepita con il d.lgs. 138/2024, impone misure di gestione del rischio che parlano la stessa lingua dello Zero Trust: controllo degli accessi, gestione delle identità e dell’autenticazione, segmentazione della rete, igiene di base degli endpoint.

E il quadro operativo è già fissato. Con la Determinazione ACN 379907/2025, applicabile dal 15 gennaio 2026, l’Agenzia per la Cybersicurezza Nazionale ha aggiornato le “specifiche di base” per i soggetti essenziali e importanti, con i tempi per l’adozione piena delle misure organizzative e tecnologiche che si estendono nel corso del 2026. Tradotto: le pratiche che il SASE e lo Zero Trust mettono a terra — accessi a privilegio minimo, identità al centro, rete segmentata — non sono più “buone idee”, ma il modo concreto di dimostrare conformità.

Il nostro punto di vista

La convergenza tra rete e sicurezza è esattamente il terreno su cui lavoriamo. Le architetture SD-WAN che progettiamo nascono già per essere la base di un percorso SASE: prima la continuità multi-sede, poi lo strato di sicurezza che governa chi accede a cosa, da dove e con quali garanzie. Non un prodotto da installare in un colpo, ma una migrazione per fasi che parte dai punti più esposti — gli accessi remoti e di terze parti, quelli dove la vecchia VPN fa più danni.

Il principio Zero Trust, del resto, non vive di una configurazione iniziale: vive del controllo nel tempo. Identità che cambiano, dispositivi che si disallineano, regole che regrediscono. Per questo leghiamo l’accesso sicuro al monitoraggio continuo del SOC · Smart Care e alla gestione della postura di cybersecurity: perché il perimetro, quando coincide con l’identità, va sorvegliato ogni giorno, non solo il giorno in cui lo si è disegnato.

La VPN ha fatto il suo tempo come unica linea di difesa. Quello che la sostituisce non è un altro apparato in sala macchine: è un modo diverso di pensare la rete, dove fidarsi è una decisione che si prende ogni volta, e non una porta che resta aperta.